文章总结： 本文介绍结合AI与Skill打造技术分身的方法，通过NotionMCP让AI读取笔记，利用Skill-Creator生成专属技能。以Java代码审计为例，构建了自动化提取路由与分析参数的项目。文章详细阐述了工具配置、编写技巧及迭代优化流程，实现了经验固化与高效复用，展示了AI在特定领域深度应用的实战价值。 综合评分： 88 文章分类： 代码审计,AI安全,安全工具,实战经验

AI与Skill结合：打造你的技术分身

原创

陈看山 陈看山

安全诸子

2026年2月27日 12:34 上海

摘要

：在本文中，你将重新认识AI与Skill的结合。通过“Notion MCP”让AI读懂你的笔记，利用“Skill-Creator”让AI编写专属技能，最终打造一个能够像你一样思考和执行的“技术分身”。

0.1 将自己的经验技能赋能给AI

“让AI作为你的技术分身，AI+skill=MY” 不仅是口号，更是可落地的实践。通过将你的经验固化为Skill，AI不再是通用的聊天机器人，而是具备你专业视角的得力助手。

0.1.1 成果展示

以 Java代码审计 为例，我们构建了一个名为 java-audit-skills 的项目。

审计能力 ：成功审计出大华（压缩后738MB）和海康（压缩后997MB）等大型项目的潜在风险。

路由提取 ：不仅能审计漏洞，还能自动提取路由及参数信息。

辅助定位 ：生成详细的教程文档，指导使用者如何手动定位路由。

案例 ：海康历史漏洞路由展示（基于 java-audit-skills 生成，未投喂特定漏洞信息） AI 能够自动关联历史 POC，并给出审计结果。

0.2 前期配置：打造你的AI工具链

要实现这一目标，你需要以下工具的配合：

Notion MCP ：让 AI 连接你的知识库。

项目地址： https://github.com/makenotion/notion-mcp-server

Skill-Creator ：官方 Skill，让 AI 帮你编写 Skill。

Agent ：Claude Code 或其他支持 MCP 的智能终端。

0.2.1 让AI读懂自己的笔记

通过 Notion MCP，你可以让 AI 直接读取你的技术笔记。AI 不仅能阅读，还能 总结提纲 ，理解你的知识体系。

0.2.2 让AI根据笔记写出Skill

这是最关键的一步。我们不需要从零手写代码，而是利用 skill-creator 结合你的笔记，让 AI 自动生成 Skill。

操作方式 ： *   通过 /skill-creator-zh 触发（如果你安装了汉化版）。 *   通过自然语言对话触发。

💡 编写Skill的技巧：让Gemini帮你优化提示词 为了得到完美的 Skill，你需要一份高质量的提示词。可以先问 Gemini： 你 ：我想要编写一个网络安全Java路由代码审计Skill，现在需要一段提示词给Claude Code来编写。请问你需要了解哪些信息，才能帮我完善这段提示词？ Gemini 会引导你补充背景，最终生成如下的高级提示词 ： Task : 请为我编写一个高级自定义 Skill，命名为 java-route-extractor-pro 。 Skill 核心逻辑 : 该 Skill 需要集成 Notion MCP（用于检索参考规范）和 Java Decompiler MCP（用于分析字节码），自动化提取 Java 全量路由并生成 Burp 数据包。 请按以下步骤实现 ：

知识库对齐 (Notion Integration)

参考检索: 调用 Notion MCP 搜索 “Java 审计规范”、”Burp 模板”。

规则注入: 将检索到的格式要求注入生成策略。

增强型路由识别 (Hybrid Discovery)

静态分析: 扫描 Spring Boot ( @RequestMapping )、JAX-RS 等注解。

深度反编译: 遇到依赖库路由，必须调用 java-decompiler-mcp 追踪到底。

全参数 DTO 展开 (Deep Parameter Mapping)

参数完整性: 禁止省略，递归解析复杂对象。

智能 Mock: 优先使用 Notion 中定义的 Payload（如 XSS/SQLI 探测符）。

自动化交付 (Output & File Action)

构造 Markdown 格式的 Burp 数据包。

结果汇总写入 audit_full_api_report.md 。

流程建议 ：先审查，再执行。让 AI 先列出方案，你审核通过后再开始编写代码。

0.2.3 迭代与提升：训练你的Skill

Skill 写好后，并非一劳永逸。你需要：

新开窗口测试 ：在一个干净的环境中运行 Skill。

跑数据 ：让 AI 执行任务，生成审计结果。

找不足 ：让 AI 自己读取结果，结合你的原始需求（提示词），分析有哪些不足。

例如：缺少了对某种注解的支持，或者 Markdown 格式不美观。

优化循环 ：根据不足点，让 AI 优化 Skill 代码。

通过不断重复“ 执行 -> 审计 -> 优化 ”的闭环，你的 Skill 将越来越接近一个真实的高级安全研究员。

0.3 总结

本项目 java-audit-skills ( https://github.com/RuoJi6/java-audit-skills ) 正是这一方法论的产物。它是基于我的个人笔记和经验生成的，专用于 Java 代码审计流程。

高效 ：处理数百MB的代码库毫无压力。

智能 ：自动提取路由、参数，生成测试文档。

可复用 ：这一套“AI + Skill”的构建逻辑，可以复制到任何领域。

让 AI 成为你的技术分身，从现在开始。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全诸子 陈看山 陈看山《AI与Skill结合：打造你的技术分身》